外部キー管理サービス
Oracle Cloud Infrastructure External Key Management Service(EKMS)を使用すると、OCIの外部でホストされる暗号化キーを作成および管理できます。EKMSは、サポートされているサードパーティのキー管理システムと統合され、OCIにキー・マテリアルをインポートせずに暗号化操作を実行します。
OCIのネイティブKey Management Service (KMS)は、Oracleデータ・センター内でホストされているハードウェア・セキュリティ・モジュール(HSM)を使用して、保存データの暗号化用のマスター・キーを格納および管理します。強化されたデータ・セキュリティ、およびOCIの外部にあるキー管理プラットフォームにキーを格納する必要がある規制コンプライアンス・ルールを持つ顧客のために、KMSは、OCIテナンシをOCIの外部でホストされるサードパーティのキー管理プラットフォームと統合するサービスであるExternal Key Management Service (External KMS)を提供します。
外部KMSでは、マスター暗号化キーを(外部キーとして)サードパーティのキー管理システムに格納および制御できます。その後、これらのキーを使用してOracleのデータを暗号化できます。キーはいつでも無効にできます。サードパーティのキー管理システムに存在する実際のキーを使用して、OCIにキー参照(キー・マテリアルに関連付けられたメタデータ)のみを作成して格納します。
ベネフィット
EKMSには、次の利点があります。
- 主な来歴:外部キー管理プラットフォームで外部に作成されたキーの使用を作成および管理します。外部キーは、OCIのどこにでもキャッシュまたは格納されることはなく、OCI KMSではキーを制御できません。かわりに、OCI KMSは、暗号化(暗号化および復号化)操作のためにサードパーティのキー管理システムと直接対話します。
- セキュリティの強化: EKMSは、サードパーティのキー管理システムを使用して、最大限のセキュリティで保存データを保護します。
- 一元化されたキー管理:サードパーティのキー管理システムでキーを管理することで、OCIや他の場所で使用する単一の場所暗号化キーで管理できます。
ユースケース
EKMSは、次のユースケースで全体的なデータ・セキュリティの一部にすることができます。
- コンプライアンス規制を遵守している銀行や公的機関は、OCIに格納されたデータから物理的に離れたオンプレミスに暗号化キーを格納する必要がある場合があります。
- オンプレミスのHSMで暗号操作を実行する必要があるセキュリティ規制を持つ銀行業のお客様は、この要件を満たすためにEKMSを使用できます。
- 複数のクラウド・プロバイダ(Oracleのマルチクラウド顧客など)を使用するお客様は、OCI内のデータベースを別のクラウドにある暗号化サービスに接続する必要がある場合があります。EKMSは、このような統合を可能にします。
用語
外部キー管理(EKMS)機能を理解するには、次の用語を理解します。
| 用語 | 説明 |
|---|---|
| 外部キー・マネージャ | お客様が所有およびホストするHSM、またはOCIの外部に存在するキー管理プラットフォーム。これは、サード・パーティのキー管理システムとも呼ばれます。 |
| 外部Vault | 外部へのキーの格納に使用される、サード・パーティのキー管理システムで作成されたボールト。 |
| 外部キー | 1つ以上の外部キー・バージョンを含むサード・パーティのキー管理システムで作成されたキー。 |
| 外部キーのバージョン | 外部キーにはそれぞれ自動的にキー・バージョンが割り当てられます。外部キーをローテーションすると、外部キー・マネージャは新しいキー・バージョンを生成します。 |
| FastConnect | FastConnectは、お客様の施設とOracle Cloud Infrastructure (OCI)の間のプライベート接続を作成する方法です。 |
| プライベート・エンドポイント(PE) | プライベート・エンドポイントは、OCI内のサービスへのアクセスに使用できる、顧客のVCN内のプライベートIPアドレスです。 |
| データ暗号化キー(DEK) | データを暗号化および復号化する機能を備えた暗号化キー。 |
サポートされるサービス
外部キー管理は、次のOCIサービスで使用できます。
| サービス | ノート |
|---|---|
| ブロック・ボリューム | |
| コンピュート | ブート・ボリュームの暗号化、およびこの表に示されているその他のストレージ・タイプの暗号化をサポートします。 |
| ファイル・ストレージ | |
| Kubernetesエンジン(OKE) | |
| オブジェクト・ストレージ | |
| 専用Exadataインフラストラクチャ上のOracle Autonomous Database | |
| Oracle Autonomous Database Serverless | |
| Oracleベース・データベース | |
| Oracle Exadata Database Service on Dedicated Infrastructure | |
| ストリーミング |